Alerte de Sécurité OpenClaw : 500 000 instances publiques, la configuration par défaut expose les systèmes

✍️ OpenClawRadar📅 Publié: April 1, 2026🔗 Source
Alerte de Sécurité OpenClaw : 500 000 instances publiques, la configuration par défaut expose les systèmes
Ad

Détails de l'exposition de sécurité d'OpenClaw

Une analyse récente montre des risques de sécurité significatifs dans les installations d'OpenClaw accessibles publiquement. Selon des chercheurs en sécurité, il y a actuellement 500 000 instances d'OpenClaw sur l'internet public. Parmi celles-ci, 30 000 présentent des risques de sécurité connus, et 15 000 sont exploitables via des vulnérabilités connues.

Problèmes de configuration critiques

L'installation par défaut d'OpenClaw présente plusieurs lacunes de sécurité :

  • L'authentification est désactivée par défaut
  • La passerelle se lie à 0.0.0.0, rendant le système accessible depuis n'importe quel réseau
  • Aucun interrupteur d'arrêt d'urgence n'est inclus dans le système
  • Aucune console de gestion n'est fournie
  • Les données sont stockées dans des fichiers markdown en texte brut sans chiffrement

Cette configuration signifie que si vous avez installé OpenClaw sans configurer manuellement les paramètres de sécurité, toute votre configuration d'agent est exposée sur l'internet ouvert, accessible à n'importe qui.

Ad

Incidents de sécurité documentés

Plusieurs incidents de sécurité ont été documentés :

  • Un audit de sécurité a trouvé 341 compétences malveillantes sur ClawHub
  • 1,5 million de jetons API ont été exposés dans une fuite de base de données
  • Un développeur a trouvé 9 CVE lors de sa première semaine d'utilisation d'OpenClaw
  • L'instance OpenClaw d'un PDG britannique a été vendue sur BreachForums pour 25 000 $, donnant à l'acheteur l'accès aux e-mails, calendriers et fichiers

Action immédiate requise

Si vous avez installé OpenClaw, vérifiez immédiatement votre configuration :

  • Vérifiez que l'authentification est correctement configurée
  • Contrôlez vos liaisons réseau
  • Examinez la sécurité de vos clés API
  • Assurez-vous que votre installation n'est pas accessible publiquement sans mesures de sécurité appropriées

La technologie elle-même est performante, mais la configuration par défaut présente des passifs de sécurité significatifs qui nécessitent une attention immédiate.

📖 Read the full source: r/openclaw

Ad

👀 See Also

OpenClaw Durcissement de la Sécurité : Protection Multi-couches Contre les Risques des Agents Autonomes
Security

OpenClaw Durcissement de la Sécurité : Protection Multi-couches Contre les Risques des Agents Autonomes

Un développeur a modifié la base de code d'OpenClaw pour ajouter une pile de sécurité multicouche comprenant une protection regex à refus catégorique, un désobfuscateur récursif, un profil AppArmor et une intégration d'audit afin d'empêcher les commandes destructrices et l'exfiltration de données par des agents autonomes.

OpenClawRadar
Le dépôt GitHub documente 16 techniques d'injection de prompt et des stratégies de défense pour les chats d'IA publics.
Security

Le dépôt GitHub documente 16 techniques d'injection de prompt et des stratégies de défense pour les chats d'IA publics.

Un développeur a publié un dépôt GitHub détaillant des mesures de sécurité pour les chatbots d'IA publics après que des utilisateurs aient tenté des injections de prompt, des attaques de jeu de rôle, des astuces multilingues et des charges utiles encodées en base64. Le guide inclut une compétence de code Claude pour tester les 16 techniques d'injection documentées.

OpenClawRadar
L'Approche de Vitalik Buterin pour une Configuration Sécurisée de LLM Locale
Security

L'Approche de Vitalik Buterin pour une Configuration Sécurisée de LLM Locale

Vitalik Buterin décrit sa configuration d'LLM souveraine axée sur l'inférence locale, le sandboxing et l'atténuation des risques de confidentialité comme les fuites de données et les jailbreaks.

OpenClawRadar
OpenObscure : Pare-feu de confidentialité open-source pour agents IA fonctionnant sur l'appareil
Security

OpenObscure : Pare-feu de confidentialité open-source pour agents IA fonctionnant sur l'appareil

OpenObscure est un pare-feu de confidentialité open-source et sur appareil qui s'intercale entre les agents d'IA et les fournisseurs de LLM. Il utilise le chiffrement FF1 à préservation de format avec AES-256 pour chiffrer les données personnelles avant que les requêtes ne quittent votre appareil, préservant la structure des données tout en protégeant la vie privée.

OpenClawRadar